Erkennungsinhalt: Ransom X Verhalten

Eine weitere Ransomware-Familie erschien in diesem Frühjahr und wird aktiv in gezielten Angriffen auf Unternehmen und Regierungsbehörden eingesetzt. Mitte Mai griffen Cyberkriminelle das Netzwerk des Texas Department of Transportation an, jedoch wurde der unbefugte Zugriff entdeckt, und infolgedessen wurde nur ein Teil der Systeme verschlüsselt. Bei diesem Angriff wurde eine neue Ransomware – Ransom X – eingesetzt, die sich unter ihren „Verwandten“ abhebt. Ransom X ist eine manuell betriebene Ransomware, die nach der Ausführung eine Konsole öffnet, die Informationen an die Angreifer anzeigt, während sie läuft. Sie beendet 289 Prozesse, die mit Fernzugriffstools, MSP- und Sicherheitssoftware, Datenbanken und Mailservern zu tun haben. Sie führt auch eine Reihe von Befehlen aus, um Windows-Ereignisprotokolle zu löschen, NTFS-Journale zu entfernen, die Systemwiederherstellung zu deaktivieren, die Windows-Wiederherstellungsumgebung zu deaktivieren, Windows-Backup-Kataloge zu löschen und freien Speicherplatz von lokalen Laufwerken zu löschen. Darüber hinaus verschlüsselt dieser Ransomware-Stamm einige sehr spezifische Ordner nicht, und Forscher glauben, dass in diesen Ordnern Cyberkriminelle ihre Tools speichern, die verwendet werden, um andere Systeme in der Organisation zu infizieren. Derzeit ist unklar, ob Kriminelle Daten stehlen, bevor sie Dateien verschlüsseln, oder ob sie sogar Verschlüsselung verwenden, um ihre bösartige Aktivität zu verbergen.

Ransom X Ransomware kann erkannt werden mit Ariel Millahuels Community Threat Hunting-Regel verfügbar auf dem Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/DQYxkD57TgJH/UXoGBXMBSh4W_EKGDMO0/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Persistenz, Privilegieneskalation

Techniken: Geplanter Task (T1053)